Siber güvenlik araştırmacıları, adı verilen yeni bir Android uzaktan erişim truva atının (RAT) ayrıntılarını açıkladı. Fantezi Merkezi Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) modeli kapsamında Rusça konuşulan Telegram kanallarında satılmaktadır.
Satıcısına göre kötü amaçlı yazılım, cihaz kontrolü ve casusluğa olanak tanıyarak tehdit aktörlerinin SMS mesajlarını, kişileri, çağrı kayıtlarını, resimleri ve videoları toplamasının yanı sıra gelen bildirimleri engellemesine, yanıtlamasına ve silmesine olanak tanıyor.
Zimperium araştırmacısı Vishnu Pratapagiri geçen hafta bir raporda, “Bu, satıcı belgelerine, videolara ve girişte düşük bir bariyer sağlayarak acemi saldırganlara yardımcı olan bot odaklı bir abonelik modeline sahip bir MaaS ürünüdür” dedi.
“Finansal iş akışlarını hedef aldığından (bankalar için sahte pencereler) ve SMS işleyici rolünü kötüye kullandığından (2 faktörlü SMS’i engellemek için), BYOD kullanan kurumsal müşterilere ve çalışanları mobil bankacılık veya hassas mobil uygulamalara güvenen tüm kuruluşlara doğrudan tehdit oluşturuyor.”
Tehdit aktörü, Fantasy Hub reklamında kurbanlardan, Rusya dışında faaliyet gösteren Telegram tabanlı siber suçlular tarafından sıklıkla kullanılan bir terim olan “mamutlar” olarak söz ediyor.
E-suç çözümünün müşterileri, dağıtım için sahte Google Play Store açılış sayfaları oluşturmanın yanı sıra kısıtlamaları aşma adımlarına ilişkin talimatlar alıyor. Potansiyel alıcılar, şık görünümlü bir sayfa elde etmek istedikleri simgeyi, adı ve sayfayı seçebilirler.
Ücretli abonelikleri ve oluşturucu erişimini yöneten bot, aynı zamanda tehdit aktörlerinin herhangi bir APK dosyasını hizmete yüklemesine ve kötü amaçlı yükün içine gömülü olduğu truva atı haline getirilmiş bir sürümü döndürmesine olanak sağlayacak şekilde tasarlandı. Hizmet, haftalık 200$ veya aylık 500$ karşılığında bir kullanıcı (yani bir aktif oturum) için mevcuttur. Kullanıcılar ayrıca 4.500 ABD Doları tutarındaki yıllık aboneliği de tercih edebilirler.
Kötü amaçlı yazılımla ilişkili komuta ve kontrol (C2) paneli, gizliliği ihlal edilen cihazlarla ilgili ayrıntıların yanı sıra abonelik durumuyla ilgili bilgileri de sağlar. Panel ayrıca saldırganlara çeşitli türde verileri toplamak için komutlar verme olanağı da sunuyor.
Zimperium, “Satıcılar, alıcılara bir bot oluşturmaları, sohbet kimliğini yakalamaları ve genel ve yüksek öncelikli uyarıları ayrı sohbetlere yönlendirmek için belirteçleri yapılandırmaları talimatını veriyor” dedi. “Bu tasarım, geçen ay ayrıntıları açıklanan bir Android RAT olan HyperRat’ı yakından yansıtıyor.”
Kötü amaçlı yazılım ise SMS mesajlarına, kişilere, kameraya ve dosyalara erişim sağlamak için ClayRAT gibi varsayılan SMS ayrıcalıklarını kötüye kullanıyor. Kullanıcıdan bunu varsayılan SMS işleme uygulaması olarak ayarlamasını isteyerek, kötü amaçlı programın çalışma zamanında bireysel izinler istemek yerine tek seferde birden fazla güçlü izin almasına olanak tanır.
Damlalık uygulamalarının, bir meşruiyet cilası vermek ve kullanıcıları gerekli izinleri vermeleri için kandırmak için bir Google Play güncellemesi gibi göründüğü ortaya çıktı. Casus yazılım, Alfa, PSB, T-Bank ve Sberbank gibi Rus finans kuruluşlarıyla ilişkili bankacılık kimlik bilgilerini elde etmek için sahte katmanlar kullanmanın yanı sıra, kamera ve mikrofon içeriğini WebRTC üzerinden gerçek zamanlı olarak yayınlamak için açık kaynaklı bir projeye güveniyor.
Pratapagiri, “Fantasy Hub gibi Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) işlemlerinin hızlı yükselişi, saldırganların meşru Android bileşenlerini tam cihaz güvenliğine ulaşmak için ne kadar kolay bir şekilde silah haline getirebileceğini gösteriyor” dedi. “Yalnızca katmanlara dayanan eski bankacılık truva atlarından farklı olarak Fantasy Hub, verileri sızdırmak ve meşru uygulamaları gerçek zamanlı olarak taklit etmek için yerel dropper’ları, WebRTC tabanlı canlı yayını ve SMS işleyici rolünün kötüye kullanılmasını entegre ediyor.”
Açıklama, Zscaler ThreatLabz’ın, gelişmiş casus yazılımlar ve bankacılık truva atları nedeniyle Android kötü amaçlı yazılım işlemlerinin bir önceki yıla göre %67 arttığını ortaya koymasının ardından geldi. Google Play Store’da 239 kadar kötü amaçlı uygulama işaretlendi ve uygulamalar Haziran 2024 ile Mayıs 2025 arasında toplu olarak 42 milyon kez indirildi.
Bu dönemde gözlemlenen kayda değer Android kötü amaçlı yazılım ailelerinden bazıları Anatsa (diğer adıyla TeaBot ve Bebek), Void (diğer adıyla Vo1d) ve sahte istihdam portalları aracılığıyla dağıtılan iş başvurusu uygulamaları olarak görünerek Orta Doğu ve Kuzey Afrika bölgelerindeki petrol ve gaz sektöründeki iş arayanları hedef alan Xnotice adlı daha önce görülmemiş bir Android RAT idi.
Kötü amaçlı yazılım, yüklendikten sonra katmanlar aracılığıyla bankacılık kimlik bilgilerini çalıyor ve çok faktörlü kimlik doğrulama (MFA) kodları, SMS mesajları ve ekran görüntüleri gibi diğer hassas verileri topluyor.
Şirket, “Tehdit aktörleri Anatsa, ERMAC ve TrickMo gibi karmaşık bankacılık truva atlarını kullanıyor ve bunlar genellikle hem resmi hem de üçüncü taraf uygulama mağazalarında meşru yardımcı programlar veya üretkenlik uygulamaları gibi görünüyor.” dedi. “Kurulduktan sonra kullanıcı adlarını, şifreleri ve hatta işlemleri yetkilendirmek için gereken iki faktörlü kimlik doğrulama (2FA) kodlarını yakalamak için son derece aldatıcı teknikler kullanıyorlar.”
Bulgular aynı zamanda CERT Polska’nın, Yakın Alan İletişimi (NFC) geçiş saldırıları yoluyla Polonya bankalarının kullanıcılarını kart ayrıntılarını yağmalamak üzere hedef alan NGate (diğer adıyla NFSkate) adı verilen yeni Android kötü amaçlı yazılım örnekleri hakkındaki tavsiyesini de takip ediyor. Kötü amaçlı uygulamaların bağlantıları, bankalardan geldiği iddia edilen kimlik avı e-postaları veya SMS mesajları yoluyla dağıtılıyor ve alıcıları teknik bir sorun veya güvenlik olayı konusunda uyararak onları uygulamayı yüklemeye teşvik ediyor.
Söz konusu uygulamayı başlattıktan sonra, kurbandan ödeme kartını doğrudan uygulama içinden Android cihazının arkasına dokunarak doğrulaması isteniyor. Ancak bunu yapmak, uygulamanın kartın NFC verilerini gizlice yakalamasına ve saldırganın kontrol ettiği bir sunucuya veya doğrudan ATM’den para çekmek isteyen tehdit aktörü tarafından yüklenen bir yardımcı uygulamaya sızmasına neden olur.
Ajans, “Kampanya, mağdurların kendi ödeme kartlarını kullanarak ATM’lerden izinsiz para çekme olanağı sağlamak üzere tasarlandı” dedi. “Suçlular kartı fiziksel olarak çalmazlar; kartın NFC trafiğini kurbanın Android telefonundan saldırganın ATM’de kontrol ettiği bir cihaza aktarırlar.”